课题研究 – 北京知识产权司法保护研究会

北京知识产权司法保护研究会

所在位置：专业研究>课题研究

专业研究

课题研究

【数据专题】“隐私”与“个人信息”的区别前言近期，“好友关系不是隐私”又引发了热议。作为《民法典》中的“新料”， “隐私”和“个人信息”被一并列入人格权编以专章保护，两者经常被混同，那它们之间究竟是什么关系呢？简单粗暴地说，在《民法典》下，这两者都被用于保护大数据时代的信息主体人格权益且但分别对应两个请求权基础，只是各自保护的对象有重叠部分——隐私≠个人信息01隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息1，权利主体的核心目的在于“不愿为人知晓”和“生活安宁”，即隐私的核心是“私密性”，即信息主体不想让外界知悉这些空间、获得的信息，即使有些信息并不属于他的个人信息，甚至只是一种物理空间（私人活动所覆盖的范围）。由于主体行权的目的多在于防御第三人获知，因此是一种相对偏主观感觉的认知。个人信息则是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等2，核心是“可识别性”，即该等信息可直接或结合识别出特定自然人，主体行权目的多在于想要积极管理已授权第三人处理的个人信息。但是否属于是其个人信息，则是相对偏客观事实的认定。因此，针对自然人的隐私或个人信息而言，“私密性”和“可识别性”是两种重要但不同的划分维度，存在一定程度上的重合（即主观上不愿让外界知悉的、客观上可识别其个人的信息），大体可分为下述情形——值得注意的是，上表的前三种情形存在此消彼长、相互角力的有趣情况。特别的，随着大数据时代进行信息收集、追踪、匹配的能力越来越强，个人信息的边界在不断扩展，而可被归入到隐私范畴的信息却越来越少，即情形2）扩张为主流样态、情形1）和3）的空间却越来越小3。这才导致老百姓常常有种错觉，认为个人没有“隐私”，甚至将个人信息与隐私混同。模糊的边界：构成私密信息的个人信息02如前所说，作为隐私权和个人信息重叠保护对象的“私密信息”是《民法典》下一个重要的新生术语，也是最难界定的人格权客体之一。如果一项信息同时具备“能够识别自然人”和“主体不愿为他人知晓”两个要件，才是“构成私密信息的个人信息” 。但在个人信息处理和司法实践中，对某一信息属性的认定难点往往不在于 “可识别性”，而在于难以判断“私密性”，即构成个人信息的同时是否还会进一步构成私密信息。然而，是否构成私密信息不仅是一项主观认定，而需要同时兼顾考虑三重视角：（1）信息主体个人的合理隐私期待，即，作为信息主体个人的内心感觉、想法、诉求、期待、愿景。（2）普通人的一般合理认知，即，作为一个普通人通常会作出的预期判断与根据正常人的社会经历和认知水平会作出的内心反应。（3）实际的信息收集和处理场景，即，在特定情况下并结合当时的具体情境会做出的心理判断与暗示。如果以上三者任何一因素发生变化，对于个人信息的“私密性”判断都可能出现不同结果。例如，极端来讲，即使 “性取向”系敏感个人信息、公众亦一般认知为隐私，但是否绝对属于“隐私”，也要看主体自身的性格、认知、理解力与抗压性、主体所在环境的包容性与开放性、是否有主动意愿公开、是否为实现特定诉求、是否因此会遭受歧视性待遇等。例如在一些较为传统的社区环境，个人一般不愿意公开同性取向，而在开放程度大的城市，愿意公开同性伴侣关系的人越来越多，而一些公众人物公开表明自己的性取向，就更难以构成其隐私了。当发生隐私权与个人信息认定的争议时，法律应当同时考虑以上三点、不可偏废一端，才能保证其公平公正。在北京互联网法院的“抖音”案中，判决从用户合理隐私期待的纬度将个人信息兼具的隐私属性划分为三个层次：一是符合社会一般合理认知下共识的私密信息；二是不具备私密性的一般信息；三是兼具防御性期待及积极利用期待的个人信息，是否侵权就需要结合信息内容、处理场景、处理方式等进行符合社会一般合理认知的判断。4另一民事判决中从场景化角度来分析，指出社交应用的好友关系在一定范围内已公开，并非不愿为他人知晓的私密信息。当然，这些诉争标的兼具个人信息与隐私权争议的案件还比较零星、尚未形成普遍共识。虽然对于社交软件中的虚拟社交关系、电话通讯录等构成个人信息的分歧不大，但这些信息是否同时仍然具有“私密性”的属性，则在企业和用户产生很大分歧。因不同社交软件对社交关系的公开模式多有差异，因此用户的合理隐私期待也应该场景化识别，即不应脱离具体软件的适用场景概括出过于抽象的论断。此外需要注意，并没有法律规定隐私必须是“被他人知晓后会导致个人主体遭受负面或不当评价”的信息。隐私指向的私密性如果遭到破坏，会导致主体无法实现其合理隐私期待、精神或客观上受到一些伤害，但却并不意味着一定会受到名誉毁损。如果以他人如何评价该等信息来作为隐私的构成要件，将会极大缩减隐私权的适用范围，变相抬高了该权利的保护阈值。区分隐私权保护和个人信息保护的核心意义：处理者5可适用的正当性事由不同03区分隐私权保护和个人信息保护的核心意义，并不在于信息主体能获得的救济有多少差别。如果用户仅仅选择“隐私权”或“个人信息保护”两者之一作为其维权的请求权基础，并不意味着主张个人信息保护所获得的救济就必然较少、侵犯隐私权承担的赔偿责任必然较大，毕竟停止侵害、消除影响、赔礼道歉和赔偿损失等民事责任方式都分别适用这两项独立的人格权救济，但隐私权的权利主张体现出信息主体更希望就该等信息的私密性获得司法认可（当然，实践中证成私密性一般比证成可识别性更有难度）。但更为重要的是，就可适用的正当性事由而言，处理隐私比处理个人信息的条件要严苛得多。01处理隐私的正当性事由处理隐私的正当性事由极其有限6，仅限于——基于法律规定；基于权利人明确同意。因此，不能基于行政法规等低位阶的法律渊源且不能在没有主体“明确同意”的情况下处理隐私。例如，公开患者病历资料只能基于患者同意7，而不能基于其他的事由。02处理个人信息的正当性事由相比之下，处理个人信息的正当性事由则宽泛得多8：法律、行政法规的规定；在该自然人本人或者其监护人同意的范围内合理实施的行为；合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；为维护公共利益或者该自然人合法权益，合理实施的其他行为；为公共利益实施新闻报道、舆论监督等行为而合理使用。以后《个人信息保护法》还可能进一步增加其他正当性事由，如为订立或者履行合同所必需、为履行法定职责或者法定义务所必需等。因此，一旦一项司法判决认定某项信息不够成“隐私”、只能以“个人信息”来保护，则其实际影响意味着收集该等信息的企业可选择的正当性事由更多、合法性空间拓宽，甚至，即使都是基于“同意”来处理，获取有效同意的门槛实操起来也可能会有所降低（如告知/单独/明确/具体等同意要件的严苛度弱化、产品端合规形式相对宽松等，不会考虑该等同意是否真正满足了主体的合理隐私期待）。不受隐私权保护不等于不受个人信息保护04近期大众针对个别司法判决产生的朴素观点认为某项信息“不属于隐私就不受保护，企业可以肆意使用”，其实是个巨大误解。虽然隐私权客体之一的私密信息和个人信息的边界因在一定程度上相互交织而带来了可解释空间，但《民法典》仍以专章形式给出了隐私权和个人信息两种并存的保护路径：（1）即使与自然人相关联的某一信息不属于隐私权保护的范畴，但如果具有“可识别性”，仍然可以作为个人信息保护（2）如果该等信息既具有隐私权属性，也构成个人信息，则应当采用“隐私权保护优先+个人信息保护补充”的叠加保护方式：优先适用处理隐私的正当性事由和获得隐私权侵权救济，同时也应该遵守个人信息保护的其他要求9，包括不仅应当遵守《民法典》中关于个人信息保护的六字箴言“正当/合法/必要”、告知透明（第1035条）、确保安全（第111和1038条）和实现主体权利（第1037条）等规定，还应该遵守《网络安全法》等相关法律法规中对个人信息保护的规定。当然，侵害方因同一行为同时承担民事责任、行政责任和刑事责任的，财产应优先用于承担民事责任10。上述复杂的保护路径背后体现了大数据时代对传统的隐私权保护框架产生了冲击，而民法则不得不作出相应的回应。在大数据和网络化时代，几乎自然人的所有行为都可以被数字化表征和处理，无论是互联网还是物联网企业，都离不开数据（包括私密信息）来提高效率和产能，数据也成为了很多企业向个人用户提供服务的基础，所以产生了从用户让渡个人信息的绝对权转化为个人要求企业合理利用个人信息的诉求变化。但即使如此，仍然需要企业处理个人信息时尊重主体的最低信任水平和满足其基本的隐私期待，以期达到一种平衡：对于可积极利用而不会对基本人身自由和尊严造成重要影响的可识别性信息予以“个人信息保护”以替代“隐私权保护”，以遵循一定规则下的可利用性来代替纯粹的防御性；对于其他构成隐私的个人信息仍然受到隐私权保护，隐私权仍然是人之为人的尊严和自由所不可分割的人格利益，不会因为大数据时代的到来而磨灭。苹果CEO库克在2021年1月的一次演讲中提到“如果我们接受生活中的一切都可以被汇总和出售，并且认为这是正常的、不可避免的，那么我们失去的不仅仅是数据，而是失去了做人的自由”。综上来看，“隐私”和“个人信息”都是保护我们在大数据时代人身尊严和自由的法律武器，《民法典》也基于对于两种权益的不同诉求制定了相应的保护路径，信息主体则应该根据信息的不同属性搭配适用相应的请求权基础。最后还要说明一下：把“隐私”和“个人信息”做上述精细的区分是基于我国《民法典》的规定，而在日常生活、企业数据合规治理、大众媒体、跨境交流等语境下时刻都进行上述区分则未必有必要或可行，比如你看库克这次演讲中通篇都在说的“隐私”其实大部分都是我国《民法典》说的“个人信息”，但也不妨碍在大家都理解这里以保护隐私之名来保护个人信息或反之亦然……你懂的。（作者个人观点，不代表所在单位立场）来源：M姐数据合规评论1《民法典》第1032条自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。2《民法典》第1034条。3 在“庞先生诉趣拿公司”一案中，二审法院明确指出，“在当今的大数据时代，信息的收集和匹配成本越来越低，原来单个的、孤立的、可以公示的个人信息一旦被收集、提取和综合，就完全可以与特定的个人相匹配，从而形成某一特定个人的详细而准确的整体信息。这些整体信息一旦被泄露扩散，任何人都将没有自己的私人空间，个人的隐私将遭到巨大威胁，任何他人未经权利人的允许，都不得扩散和不当利用能够指向特定个人的整体信息。”4 黄某诉微信读书案（2019）京0491民初16142号。5 这里采用《民法典》项下的一元主体规定，未区分“数据控制者”和“数据处理者”。6《民法典》第1033条除法律另有规定或者权利人明确同意外，任何组织或者个人不得实施下列行为：……（五）处理他人的私密信息。7《民法典》第1026条。8《民法典》第1035条、第1036条、999条。9《民法典》第1034条：“ ……个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”对这条中的“没有规定”应做宽泛理解，即个人信息保护和隐私权保护有冲突的，应优先适用隐私权规定；没有冲突的或隐私权没有规定相应内容的，还应当遵守个人信息保护的规定。10《民法典》第187条：民事主体因同一行为应当承担民事责任、行政责任和刑事责任的，承担行政责任或者刑事责任不影响承担民事责任；民事主体的财产不足以支付的，优先用于承担民事责任。
发布时间：2021-03-01 13:45:19
【专题研究】我会发布《涉网络“非典型”不正当竞争纠纷调研报告白皮书》 1月19日，我会第一届会员大会第三次会议召开，会上我会互联网平台专业委员会主任、腾讯集团法务部知识产权诉讼总监刁云芸发布了《涉网络“非典型”不正当竞争纠纷调研报告白皮书》（下称“白皮书”）。白皮书发布仪式随着互联网经济的发展和繁荣，网络经济作为一种由现代信息技术催生的新型经济形态应运而生并蓬勃发展，但是由于利益的驱动和成熟规则的缺乏，出现了大量的不正当竞争行为，相关案件层出不穷。目前，虽然大多数常规性案件已在法律适用方面形成统一意见，但在处理一些“非典型”的不正当竞争纠纷案件方面仍然存在诸多问题。白皮书中仅以刷单刷量、群控、账号黑产、游戏外挂、违反robots协议的数据爬虫行为、诱导分享六种行为（统称“非典型”行为）为代表的网络行为为调研的对象，且调研的法律问题仅限于不正当竞争纠纷。本次调研在梳理全国各地法院近五年来涉及上述“非典型”行为民事案例的基础上，通过案例研究、数据统计、资料分析、专题讨论等方式，总结目前涉网络“非典型”行为民事案件的特点、法律难点、实务操作等问题，旨在归纳、总结出司法审理此类案件中的已有做法，对尚存争论的问题提出统一的意见，供司法机关、行政机关、企事业单位在职能工作中予以参考。白皮书中从“涉网络‘非典型’行为的基本特点和情况”、“有关《反不正当竞争法》第二条和第十二条的理解”“具体涉网络‘非典型’行为的认定”“涉网络‘非典型’行为中行为保全禁令的实体要件审查”“涉网络‘非典型’纠纷的抗辩事由”“关于被诉行为使用技术手段的举证责任分配”六个方面进行了详细的阐述。涉网络“非典型”行为的基本特点和情况ONE“涉网络‘非典型’行为的基本特点和情况”分为五种，从案件数量看，案件数量总数少、从地区分布看，案件集中在经济发达地区、从案由分布看，集中在知识产权纠纷和不正当竞争纠纷、提出诉前保全并获支持的案件数量少、涉及法律适用问题较为集中。有关《反不正当竞争法》第二条和第十二条的理解TWO一、第二条一般性条款的理解和使用虽然人民法院可以适用反不正当竞争法的一般条款来维护市场公平竞争，但同时应当注意严格把握适用条件，以避免不适当干预而阻碍市场自由竞争，凡是法律已经通过特别规定作出穷尽性保护的行为方式，不宜再适用反不正当竞争法的一般规定予以管制。对于第二条一般性条款的理解和使用，主要是对于“损害”的理解，在“非典型”不正当竞争行为中，不正当竞争行为所造成的损害不仅包括给某一经营者带来的经济利益损失，还包括网络流量的损失，网络用户“粘黏性”减少的损失、网络管理秩序的混乱、竞争优势的降低，以及对其它网络用户的利益所造成的损害等。网络经济属于眼球经济，竞争的目标不是直接的交易所得，而是对于网络用户的吸引即关注度。涉网络“非典型”不正当竞争行为具有同其他类型涉网络不正当竞争行为共同的特点，竞争者之间不仅是交易机会的竞争，更是未来产业生态链及可预期利益的竞争。二、第十二条互联网专条的理解和使用《反不正当竞争法》第十二条列举了四类不正当竞争行为：“（一）未经其他经营者同意，在其合法提供的网络产品或者服务中，插入链接、强制进行目标跳转；（二）误导、欺骗、强迫用户修改、关闭、卸载其他经营者合法提供的网络产品或者服务；（三）恶意对其他经营者合法提供的网络产品或者服务实施不兼容；（四）其他妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为。”在上述四类行为中，前三类是对互联网不正当竞争行为进行的类型化列举，而第四类则是兜底条款，对可能存在的或将来可能出现的尚不适宜类型化的不正当竞争行为作出概括式规定。三、第二条和第十二条的适用关系涉网络“非典型”不正当竞争行为通常都具有利用网络技术实施行为的特点。按照“特别法优于一般法”的法律适应原则，在法律适用中应首先判断是否符合《反不正当竞争法》第十二条互联网条款的相关规定。具体涉网络‘非典型’行为的认定THREE根据调研，具体涉网络“非典型”不正当竞争行为主要体现在“刷量”“群控”“账号黑产”“游戏外挂”“违反robots协议的数据爬虫行为”“诱导分享”六个方面。不同行为对于软件、用户、平台造成不同程度的危害。涉网络“非典型”行为中行为保全禁令的实体要件审查FOUR行为保全，又称为临时禁令，是指经权利人申请，人民法院可以作出行为保全裁定，责令当事人在诉前或诉中作出一定行为或者禁止作出一定行为，具有“暂时性”“程序简易性”等特征，能够达到制止“侵权行为”的“快保护”效果。白皮书结合判例，总结出“侵权可能性”“难以弥补的损害”“有效的担保”“权利人适格以及权利基础稳定”“与公共利益的平衡”“禁令申请的法律依据和事实基础问题”六个实体要件。涉网络“非典型”纠纷的抗辩事由FIVE原告与被告通常有“原被告之间不具有竞争关系，原告或被告主体不适格”“原告不享有合法权益”“被告仅为中立的技术或服务提供方”“被诉行为具有正当性”“被诉行为系技术创新”“被诉行为有利于消费者福利的正增长”六种抗辩事由。关于被诉行为使用技术手段的举证责任分配SIX“非典型”网络不正当竞争案件中，各种新技术手段层出不穷，案件的诉讼本质上仍为一般侵权性质的民事诉讼，因此，对被诉行为本身所采取的技术手段的认定，在举证责任分配上，除非法律另有规定，都应当遵循举证责任分配的一般规则，即“谁主张谁举证”。同时，由于网络技术的不断更迭，在现阶段技术手段无法实现相应的技术效果的情况下，抗辩方技术实施者有义务就其采取的具体技术手段进行举证。建议白皮书中根据实际情况，提出了以下几点建议：一、支持诉前行为禁令，可以及时制止损害及侵权行为。二、应合理分配举证责任。三、由于流量和数据的价值难以估量或计算，应在法定最高限额以上合理提高损害赔偿数额。（以上内容摘自《涉网络“非典型”不正当竞争纠纷调研报告白皮书》）如您需要查阅白皮书原文，请联系我会秘书处联系方式：010-88829866邮箱：bjippa@163.com
发布时间：2021-01-25 09:35:06
【数据专题】数据产权司法保护调研 2020年3月30日，中共中央、国务院下发了《关于构建更加完善的要素市场化配置体制机制的意见》。意见指出，要加快培育数据要素市场，重点是推进政府数据开放共享、提升社会数据资源价值和加强数据资源整合和安全保护。其中数据保护要根据数据性质完善产权性质，制定数据隐私保护制度和安全审查制度，推动完善使用于大数据环境下的数据分类分级安全保护制度，加强对政务数据、企业商业秘密和个人数据的保护。在互联网信息技术的迅猛发展的背景下，不断挖掘探索数据价值的同时，对于数据的保护就显得尤为迫切，其中大数据的知识产权保护成为了重中之重，也给知识产权司法保护带来了新的挑战。2020年4月1日，最高人民法院向北京市高级人民法院下发了《关于协助做好数据产权司法保护调研工作的通知》，通知要求结合数据产权纠纷的典型案例，收集审判实践中的问题，包括数据产权立法方面需要完善的问题，收集大型互联网企业、高科技企业等涉及或专门从事数据收集、运营的企业对数据产权保护的意见，了解数据产权基本规律及行业实际需求。受北京市高级人民法院的委托，研究会将协助数据产权司法保护调研做如下协助工作：1、收集国内外学术界对数据产权的各种观点和理论依据。2、收集国内互联网企业、高科技企业、数据交易所等从事数据收集、运营企业对数据产权保护的意见。3、收集国内有关数据收集、处理和利用方面的案例，并开展统计分析。4、收集国外对数据收集、处理和利用方面的立法规定和司法判例，并开展统计分析。5、承办数据产权司法保护专题研讨会。6、开展北京市高级人民法院委托的与本调研相关的其他工作。目前，研究会在上级主管单位北京市高级人民法院的指导下，根据最高人民法院的通知精神，已开设《数据产权保护专题》栏目。会员单位如对数据产权司法保护有深入研究和独特见解，欢迎就此主题赐稿。稿件主要围绕数据产权司法保护的前瞻观点及理论依据；各行各业对数据产权保护的现状；最新的司法判例；高科技企业、运营企业对数据产权司法保护的意见等。
发布时间：2020-11-02 16:10:17
【数据专题】司晓：数据要素市场呼唤数据治理新规则作者 | 司晓腾讯研究院院长本文刊载于《图书与情报》2020年第3期转载来源：腾讯研究院《关于构建更加完善的要素市场化配置体制机制的意见》顺应数字时代的发展潮流，明确数据作为一种新型生产要素的重要地位。《意见》针对数据要素勾勒出清晰的政策路线图，旨在加快培育数据要素市场，全面提升数据要素价值。数据要素市场的培育，需要新的制度来提供适宜的土壤。1. 数据——数字时代最重要的战略性资源随着数字化进程全面加速，数据呈爆发式增长。IDC报告显示，全球数据总量将从2018年的33ZB增长到2025年的175ZB。数据的价值也日益彰显，一方面，数据是人工智能、量子计算等新技术发展应用的基础；另一方面，基于数据的预测与决策，持续给经济社会发展注入新动能。数字孪生成为显著的发展趋势，现实世界与虚拟世界之间的交互和相互影响不断加强。现实世界正被持续数字化并在虚拟世界中进行仿真，从而实现高效、精准的预测，例如算法系统预测工厂中的机器何时可能出故障。在这个意义上，数据构筑起来的虚拟世界，不仅仅是现实世界的镜像，而是数据和算法驱动的人类生活的新维度，将持续重构经济社会形态及个人生活。数据及其驱动的数据经济和数字经济也面临着一些问题。就像伴随技术发展和知识生产而逐步得到建立并被普遍认可的知识产权制度一样，我们需要新的制度来解决这些问题。有些制度（如政府数据开放共享、个人信息保护）已经获得了广泛的社会共识，有些制度（如数据产权、数据跨境）还需进一步凝聚共识，而有些制度可能还在孕育当中。2. 数据治理不是非此即彼，而是多种模式并存在数据是新型生产要素这一划时代的科学认知之下，数据石油、数据阳光等形象化的不同认知并非非此即彼，而是可以共存，代表着数据治理的不同侧面。数据石油之喻，对应着《意见》提出的“数据产权”，需要加强对企业这一最重要的数据持有者的商业数据的保护。单个的数据一般不能发挥出价值，需要数据持有者对数据进行清洗、加工、整合、标注之后数据才能使用，才能用来训练人工智能算法、开发新的产品或服务等。在数据要素市场中，企业是最重要的数据持有者，数据产权制度的首要目的便是对企业手中的数据进行保护。如欧盟《数据战略》提出，不能强制要求企业分享其数据，只有当出现市场失灵时，才考虑基于公平合理无歧视的条件赋予数据访问权，但也需要尊重数据持有者的合法权益，这意味着企业对其数据享有一定的排他性控制和权益，而非完全开放数据访问。再如，新修订的日本《反不正当竞争法》规定了不正当获取、使用及公开“限定提供的数据”的侵权行为。这些举措都旨在加强对企业收集、整理的商业数据的保护，同时为数字经济发展建立竞争有序的数据流通环境。就我国而言，随着企业间数据获取与使用需求与日俱增，数据窃取、数据爬虫、数据黑产等非法行为也呈蔓延之势，严重阻碍数据要素市场的健康有序发展。对此，当前司法实践已通过一系列案件逐步明确了企业对其投入劳动，收集、生成、加工、整理、衍生的数据和数据产品享有合法权益，他人获取与使用应尊重其意愿。在推进建立数据产权的过程中，应优先将这些司法判例所确立的规则与标准上升为法律制度。《意见》提出的“研究根据数据性质完善产权性质”，是值得肯定的，因为数据产权不仅需要考虑个人数据与非个人数据、政府数据与商业数据、公开数据与秘密数据等不同分类，而且需要结合加密技术、区块链等技术控制措施的发展状况来具体构建。而且考虑到数据的特征和复杂性，数据产权应不同于传统产权，不宜采取绝对权利的路径。数据阳光之喻，对应着《意见》提出的“政府数据开放共享”，需要消除“政府数据孤岛”，打通政府和社会之间的数据通道。与企业收集、整理的具有私人物品属性的商业数据所要求的排他性控制和自主流动不同的是，政府数据具有公共物品的属性，应以开放共享为首要原则，以便打破政府部门之间的“数据孤岛”和“数据烟囱”。政府数据开放共享一般包含三个维度，首先，可以开放的数据，需要向全社会免费开放，在这方面，2019年生效的美国《开放政府数据法案》和欧盟《开放数据指令》树立了全球典范。其次，可以共享的数据，需要在政府部门之间分享，并可出于公共利益等目的向企业等社会主体分享。如澳大利亚政府规定：除不能披露的政府数据（以负面清单的形式存在）以外，其他政府数据应广泛共享，而且为特定目的（如公共利益目的）进行的数据共享，不需要获得个人的同意，而是以数据管理者、使用者的保护义务代替数据主体的许可。最后，秘密的、不能披露的数据，此类数据需要以负面清单的方式划定，作为共享与开放的例外。总之，政府数据开放共享是数据要素市场的关键一环，政府公共数据开放能够将以前散落在各个政府部门的公共数据汇聚到统一的开放平台，从而高效支撑市场主体和科研机构的创新、研究等需求；而政府数据在政府部门之间共享或者向社会主体分享，不仅能够最大限度地减少个人数据重复收集，而且在优化政务服务的体验、降低数据泄露风险、提高政策研究及制定的精确度和质量、提升政府管理和服务水平、推进智慧城市和社会治理智能化等方面都具有重要作用。《意见》从“制定政府数据共享责任清单”和“促进企业登记、交通运输、气象等公共数据开放”两个方面推进政府数据开放共享，有望进一步消除“政府数据孤岛”，并打通政府和社会之间的数据通道。但相比欧美全面、系统、统一的开放共享模式，我国的政府数据开放共享机制尚在探索。3. 踩好数据治理的平衡木，不断凝聚共识一方面，数据治理并非此消彼长的零和游戏，而是需要处理好四个目标之间的关系。这四个目标分别是：数字技术和数字市场的发展与创新；消费者权益保护尤其是个人数据和隐私保护；商业利益；以及公共利益和国家利益。任何一项数据法律制度都需要权衡、兼顾这些目标，如个人信息保护不能枉顾商业利益和公共利益而走向绝对化，企业对个人数据的获取及使用也不能以牺牲个人隐私为代价。另一方面，数据治理需要凝聚更多共识。比如，由于数据具有多重属性，个人数据保护，与商业秘密、数据库权、企业数据权益等可以共存，并非非此即彼。再比如，就数据开放而言，政府数据与企业数据在数据产生、公共属性等方面存在实质差异，因此不能无差别地讨论数据开放，特别是不能无条件地强制要求企业共享数据，这不仅与数据产权相悖，而且不符合《意见》提出的“促进要素自主有序流动”。可以说，只有人们在数据治理问题上不断达成共识，才能确保对数据法律制度的探索是朝向正确的方向。此外，数据要素市场还需要考虑数据伦理、行业自律、绿色发展等事项。数据伦理和行业自律可以促进企业和行业自我约束，践行“数据向善”（data for good），如腾讯提出的数据隐私理念——“科技向善，数据有度”；绿色发展则旨在回应数字技术和数字经济的环境影响，要求数字公司在建设数据中心、开展数字业务等过程中，承担更多的环境责任。
发布时间：2020-11-02 15:33:25
【数据专题】陶钧：数字经济下竞争法的自救与发展——以“生产要素”效用最大化为考量作者 |陶钧北京市高级人民法院知识产权庭【1】来源：知产财经数字经济的兴起与发展，无论是对生产要素、产业结构、运行方式，还是对市场竞争模式都带来了前所未有的变化。被誉为“经济宪法”的《反垄断法》在新的经济业态下，必然将面对前所未有的挑战。如何在现行法律制度下有效回应市场经济的发展所需，以及如何修订完善已经施行十余年的《反垄断法》，已经成为司法实践与立法机关均需深度思考的问题。本文将从分析数字经济的特点为切入，就数字经济中“竞争要素”对模型架构的影响、数字经济背景下《反垄断法》的“静与动”、《反垄断法》发展路径的设计与完善展开论述，进而在价值理念、适用规则、路径规划、分析方法、垄断协议的认定等方面提出建议，以求能够保障我国数字经济在自由、公平竞争环境下的健康发展，优化营商环境。一、数字经济的特点及现状对竞争法的影响2016年9月，杭州G20峰会通过了《二十国集团数字经济发展与合作倡议》，首次将“数字经济”列为创新增长蓝图的一项重要议题。依据该倡议，数字经济是指以使用数字化的知识和信息作为关键生产要素、以现代信息网络作为重要载体、以信息通信技术的有效使用作为效率提升和经济结构化的重要推动力的一系列经济活动。【2】基于上述界定，显然数字经济与以往农业经济、工业经济在生产要素、生产工具等方面均有了翻天覆地的变化。从当前数字经济的发展态势而言，就其对竞争法的影响，呈现出以下三方面的特点：第一，数字经济下就消费者群体数量的竞争，正在从增量竞争向存量竞争进行演变，使得产业竞争更加激烈。根据《中国法院的互联网司法》白皮书公布的数据，截至2019年6月30日，中国网民由1997年的62万人增加到8.54亿人，手机网民规模达8.47亿。同时中国互联网络信息中心发布的第45次《中国互联网络发展状况统计报告》显示，截至2020年3月，我国网民规模为9.04亿。因此，相比于2018年底的8.29亿，我国网民规模增长0.75亿，增速为9%。如何在现存网民数量下赢得更多消费者青睐，取得更多的交易机会，成为数字经济经营者面临的共同挑战。第二，我国人口数量及人口结构现状对供需曲线的影响将加剧市场竞争。根据国家统计局2020年1月17日公布的2019年国民经济数据显示，截至2019年年末，我国大陆总人口比上年末增加467万人，60周岁及以上人口占比18.1%。“人口红利”的增速下降以及社会老龄化问题，将直接推动需求曲线的下移，也将对市场经济的增长以及消费的增长产生负向效应，必将加剧市场竞争。第三，数字经济下“赢家通吃”的效应模式促使“寡头”的出现。数字经济中的网络效应、规模效应以及消费者单边“零”成本等特点，既改变着经营者盈利的模式，也促使经营者打破过去“单向渠道”产品供应链，趋向于全领域业务的拓展，争先赢得“寡头”进而实现商业利益的最大化。正是基于上述特点，就数字经济下所表现的各类竞争行为，应当防止以“技术创新”为名实施排除、限制竞争的行为，在司法适用与立法层面应当更加关注如何将数字经济中的“生产要素”实现其效用最大化，充分发挥内在的经济价值与潜能。“生产要素”效用最大化可以通过技术创新与合理设计分配机制进行实现，因此在法律层面的思考，无论是立法与实践，均需以“生产要素”效用最大化为立足点，进行科学、合理的架构与设计，回应经济发展对竞争法的现实要求。二、数字经济中“竞争要素”对模型架构的影响经济学在论证过程中通过各种数学模型完成在预设场景下对现实状况的分析以及未来发展的预测，因此就竞争法的发展与完善而言，亦可借助于科学的模型构造，分析出将要面对的法律问题以及解决出路。数据、流量和用户作为数字经济中重要的竞争要素，其合理的模型架构必然有助于竞争法自身的完善。　　首先就数据而言，可以从以下三个方面进行思考：第一，数据权属的界定。按照传统财产权理论，其保护的边界是清晰可见的，防止社会主体误入其中而产生“无用损失”，因此无论是动产、不动产或是知识产权均是通过公示性来告知其他社会主体权利保护的藩篱界限。然而数据难以依照传统财产权理论进行划定与适用，因为数据来自于每一个使用者，对于“是否网络中所保存的‘痕迹’必然归属于收集者”、“何主体对其具有使用的权益”、以及“在使用过程中是否应当征得原用户的同意”等，均存在较大的探讨空间。“科斯定理”的重要条件之一就是产权明晰，而竞争要素的所有权更是市场有效配置的基础。因此，虽然有观点认为是否可以在淡化产权概念下，通过强调数据的控制权实现市场配置问题，但是显然权属不明，并不利于发挥“数据”真正的效能。关于数据权属的问题，既可以从洛克的劳动创造价值理论进行分析，亦可按照边沁的功利主义予以保护，但是二种理论各有千秋，并不能达到自身论证的“完美闭环”。十九届四中全会首次提出将数据等生产要素按贡献参与分配机制，因此在未来的探讨中，可以在结合我国所有制形式多样性的基础上，合理设计分配形式以求确保数字经济竞争的充分性。第二，数据价值的界定。关于数据的价值，应当关注二个方面，即数据自身的量级和数据的可预测性，数据价值的实现是通过一系列算法对体量庞大的数据分析后，就未来消费的方向作出预测，进而实现成本与效益的有效匹配，例如当前出现的“C2M”模式，就是数据价值的现实体现。第三，数据隐私保护与共享利用的边界。如何在数字经济中实现个人隐私（网络用户的浏览记录和消费、居住、通讯、支付等信息）的保护，以及经营者对相关数据的转移、分析结论的使用、数据瑕疵的传导等方面呈现的问题，都有待探索与解决。其次就流量而言，主要关注配置效应和网络效应。数字经济下流量与渠道是存在与发展的基础，然而数字经济亦是必须依托实体产业为基础的，因此如何划定该种经济模式下的利益配比，需要立法者、司法者和管理者在权衡整体社会福利，避免通过“渠道限制”实施排除、限制竞争行为的情况，进行合理分配。而网络效应需要重点考量移转成本，其包括单边效应和交叉效应。其中既要衡量用户移转前后利益的增减，又要兼顾个体与群体交互模式改变的可能性，以及数字经济“双边市场”或“多边市场”的现实状况。最后就是用户，可以关注二个问题。第一就是补贴与粘性，价格补贴以及用户“零”成本，显然是从增强用户“粘性”维度进行的考虑，特别是新用户上线的补贴程度更加明显，对于此种模式下“低于成本价”的销售行为如何进行理解，就需要予以细致分析。第二则是“价格杀熟”，数字经济中新、老用户的差异性价格消费模式比较常见，是否“价格杀熟”必然会导致社会整体消费者福利的下降，也需要更加理性的分析，而不能断然概之。三、数字经济下竞争法的“静与动”就“竞争要素”进行概括认知后，则要审视数字经济中《反垄断法》的具体条款能否实现对市场竞争中出现的各类限制、排除竞争行为的有效规制。具体而言，在法学解释方法下如何实现法律条款“静态”适用的合理认知，即“漏洞的弥补”；以及通过修订法律实现“动态”的补充完善，即“条款的填补”，则是需要进一步探讨的问题。数字经济下相关市场的边界并不清晰，“赢家通吃”的特性决定了网络经济下经营主体的跨界性。同时，数字经济竞争模式的改变，使得在“双边市场”或者“多边市场”下，消费者单边成本归于零，假定垄断者测试虽然具有普适性，但是在运用具体测试方法时，则容易导致SSNIP测试的失灵，可以通过SSNDQ测试进行填补，最高法院在奇虎诉腾讯滥用市场支配地位案中对此进行了详尽阐释。【3】同时，在界定相关市场时，是将其界定为一个独立的双边或者多边市场，还是界定为相互关联的二个或者多个市场，均需进行个案的具体分析，进而归纳出具体适用要件。由于“算法”与“数据”的结合，使得传统的垄断协议在数字经济中的认定并非清晰可见。因为垄断协议需要各方经营者意思表示或者协同行为的认定，而“算法共谋”的出现，使得意思表示或者协同行为更加的隐蔽。通常就“算法共谋”，可以分为信号型、轴辐型、预测型、学习型等，特别是伴随区块链技术的成熟与应用，导致判断难度直线上升。而且按照现行《反垄断法》第13条和第14条的规定，在轴辐型算法共谋下，显然“平台”与该平台上的经营者之间并不具有“竞争关系”，同时彼此间亦非“交易相对人”，导致在认定垄断协议时就会出现对认定主体的缺位，使实际从事、参与、组织的主体免于《反垄断法》的规制。而此时若求助于该法第十七条，就市场支配地位以及是否为共同支配地位经营者亦存在法律规定的空白，难以实现有效的条款支撑。同时，数字经济下“独角兽”企业不断涌现，企业规模与市场力量呈现“非对称性”。而且数字经济市场力量的变化速度也是前所未有的，有时用户数量与市场力量并不必然对等，需要区分渗透性与活跃度、单归属与多归属等现象的差异，适用过去“一贯而为”的市场份额进行分析可能会出现认知的偏差。因此就需要通过《反垄断法》预期规则的动态填补进行完善，制定出针对数字经济更为行之有效的认定方法，避免具有市场力量的主体实施的违法行为免于法律追究。四、“竞争法”发展路径的设计与完善在对数字经济呈现的竞争行为与《反垄断法》是否匹配进行分析后，就应回到对《反垄断法》发展路径的设计与完善上进行思考。具体提出以下四点建议：第一，建立“效益优先、鼓励创新”的价值理念，避免以“私权救济”思维反制“公力谦抑”的规则。“创新”是数字经济得以蓬勃发展的基础，无论是对具体垄断行为的规制，或是经营者集中的审批，以及竞争政策的审查，均应当考虑对产业创新的影响。而在具体的分析中，创新周期、创新动力、创新潜力等均需要做定量分析，从而得出客观结论。第二，探索“司法主导、双轨并行“的路径规划，提升、健全“规范位阶、规则引导、合理解释、适度包容”的适用方法。纵观世界各国、各地区，反垄断行为规制的司法终局性与主导性得到普遍认同，而且司法主导亦是我国知识产权司法保护的基本政策之一。随着垄断行政执法力度和成效的不断加强，未来可预期的是行政执法将面临更多的司法审查。然而司法审查应当回到《反垄断法》的维度上进行认知，司法与行政需要一个共同的良性互通、良性共识的环境，促进整体市场效应的最大化，确保充分竞争市场免受违法行为的侵扰。目前，行政机关梳理出台了许多有益的行政规章，司法审判也积累了丰富的经验，可以利用《反垄断法》的修法契机，将相关的规章位阶和司法成熟经验吸收于“具体法律条款”之中，弥合司法审判与行政执法在部分问题上的分歧。第三，垄断协议中加大对协同主体的“扩大适用”以及协同行为的“事实推定”，确立举证责任移转制度的合理划分。数字经济下，基于新技术的运用与成熟，需要增添法律条款的适用“武器”，避免利用算法合谋而规避法律责任等现象的出现。同时，我国反垄断民事诉讼纠纷胜诉案件数量相对有限，一部分原因是当事人诉讼能力以及案件缺乏证据支持的问题，一部分也是举证责任分配合理性的问题。特别是数字经济的兴起，更加提升了原告证据收集以及举证的难度，因此可以适时通过证据保全、举证责任合理分配、证明责任移转等方式的实现，尽量将案件事实予以厘清，完善我国反垄断纠纷司法审判的配套程序机制。第四，运行“谨慎认定、动态测试、延伸评估、互通协作”的范式架构。在对滥用行为进行规制的案件中，应当充分考虑数字经济自身的特点，特别是对相关市场的界定上需要有所“为”，关注市场的动态变化对市场力量的影响。五、结语数字经济对我国市场经济发展的重要性毋庸置疑，因此如何确保在新经济业态下竞争的有序性、自由性、公平性是竞争法责无旁贷的任务。实现市场自由竞争与产业繁荣发展，是竞争法的终极目标，也是竞争法在具体适用与执行中的价值追求。因此，法律的理解与思考永远都在路上，需要通过更加精细化的立法设计和精准的执法落地予以实现。注释：【1】陶钧，中国政法大学民商经济法学院经济法专业2018级博士研究生，北京市高院知识产权庭法官。本文观点仅代表作者目前个人意见，不代表所在单位意见，特此声明。【2】韩伟：《迈向智能时代的反垄断法演化》，法律出版社2019年11月版，第1页。【3】参见最高人民法院（2013）民三终字第4号民事判决。
发布时间：2020-11-02 15:32:17
【数据专题】黎淑兰、范静波、陈蕴智：大数据产业发展背景下数据信息的知识产权司法保护作者：黎淑兰范静波陈蕴智单位：上海知识产权法院来源：《人民司法》2011年5月，麦肯锡公司发表了题为“Big data: The next frontier for innovation, competition, and productivity”的研究报告，标志着大数据时代的到来。该报告中称：“数据，已经渗透到当今每一个行业和业务职能领域，成为重要的生产因素。”2015 年 8 月 31 日，国务院印发《促进大数据发展行动纲要》，指出大数据是以容量大、类型多、存取速度快、价值密度低为主要特征的数据集合，正快速发展为对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析，从中发现新知识、创造新价值、提升新能力的新一代信息技术和服务业态。数据已成为国家基础性战略资源，大数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响。自全面进入大数据时代以来，数据资产在国家政治、经济活动和个人生活中所扮演的角色达到了前所未有的程度，大数据对人类社会发展带来的福利已显而易见，但若缺乏合理的约束与保护，它也可能给社会发展带来不利的后果，有关数据信息的法律保护制度正面临着一场重大的变革。民法总则第一百二十七条规定：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”该规定确认了数据等可以受到法律的保护。近年来，我国对于数据信息的法律保护问题，无论在立法层面还是学术研究层面，更多的是围绕个人信息展开，关注点更多的在于个人信息安全、个人隐私及人格尊严的保障方面，但是在大数据产业发展的背景下，随着新型商业模式的诞生，单纯的个人信息保护已经无法满足现今数据信息保护的需求，因此，构建清晰明确的大数据权益保护模式，是保障大数据产业发展的重要因素。一、数据信息权益的性质和归属确定数据信息权益的性质是法律适用的基础，也将影响数据信息的保护范围和方式，而数据信息归属则是当事人能否作为适格主体寻求法律救济的前提，因此，在构建数据信息保护模式前必须明确数据权益的性质和归属。（一）数据信息权益的性质由于数据信息所涵盖的内容和形式广泛，关于数据权益的性质存在以下几种主要观点：1. 新型人格权说,该观点聚焦在个人信息资料权，认为个人对于自身信息资料享有控制权，并不完全是一种消极地排除他人使用的权利，更多情况下是一种自主控制信息适当传播的权利。个人信息资料权保护人格的精神利益和财产利益的统一体，同时，精神利益和财产利益可以加以区分。其中的财产利益受到非法侵害时，损失可以市场价格计算。2. 知识产权说 ,“著作权 + 邻接权”。该观点认为，针对数据库和数据集的不同情况，分别用著作权和邻接权制度对之予以保护。对于选择和编排上有独创性的数据库或数据集，可以将其视作汇编作品，考虑用著作权制度进行保护；对于不具独创性的数据库和数据集，则可以考虑通过邻接权制度加以保护。3. 商业秘密说，该观点认为，数据具有经济价值，而且也具有非公开性和非排他性。4. 数据财产权说，该观点认为，数据是一种新型的财产，不宜用既有的人格权、知识产权、商业秘密保护制度对其予以合理保护，应在立法中增设一种数据财产权。[1]纵观上述观点，均存在对数据信息的片面认识和不合理之处。1. 关于新型人格权。该观点仅着眼于单纯个人信息，并未考虑到大数据时代中纷繁的数据信息形态，而对于个人信息，2017年10月1日施行的民法总则第一百一十一条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”从该条款的行文表述以及法条编撰位置来看，现行法律确立的个人信息权依然是倾向于从人格权的角度予以保护，并未涉及个人信息中的财产权益。2. 关于“著作权 + 邻接权”的知识产权说。该学说仅考虑了数据库的权益性质，但大数据时代中的数据信息已经不单单是数据库或者数据集可以涵盖的。3. 关于商业秘密说。对于符合商业秘密构成要件的数据信息当然可以通过商业秘密保护，但是大数据时代，大量数据信息因商业模式的需要而存在于公开领域，该部分数据信息显然无法通过商业秘密加以保护。4. 关于数据财产权说。一般理解中的财产权是物权法中的概念，而物权法意义上的财产权采用一物一权原则，但一项数据信息可能涉及多个主体，这是与财产权说不适应的方面。且该观点认为应将财产权益单独立法，在立法层面也具有相当大的难度。在综合分析以上几种观点的基础上，笔者认为，大数据产业发展下新型商业模式中产生的具有财产价值的数据信息，可根据信息的具体内容或者类型，纳入知识产权制度体系或者通过竞争法予以保护。理由如下：首先，无形财产是知识产权法律制度保护的对象，数据信息的价值体现形式符合知识产权的该项特征。其次，数据信息同时包含人身权益和财产权益的保护需求，而知识产权法律体系涵盖了对人身权益和财产权益的双重保护。再次，在如今缺乏专门针对数据信息保护规定的情况下，基于数据信息与知识产权现有客体存在的共通性，司法实践中普遍将表现形式基本符合知识产权现有客体条件的数据信息纳入相关法律的保护范围，且大数据作为现今的一项重要生产因素，对于市场竞争格局产生了重大影响，亦符合竞争法规制的对象。（二）大数据信息财产权益的归属在大数据信息的产生、收集、分析、使用等过程中，主要涉及 3 个主体，即数据信息产生者、数据信息控制者和数据信息使用者。数据信息产生者是指单个数据信息直接指向的主体；数据信息控制者是指收集、分析并实际掌握、使用数据信息的主体；数据信息的使用者是指除数据信息控制者外利用数据信息获得利益的主体。那么经过收集、分析处理的大数据信息财产权益到底应该归属于数据信息产生者还是数据信息控制者呢？笔者认为，在大数据产业发展迅猛的今天，随着新型商业模式的应运而生，以大数据为基础发展的企业都为收集、分析数据信息投入了大量人力物力，且对于数据的收集方法以及分析处理方式多研发出了特有的模式，此时，若不允许数据信息控制者对其收集、分析的具有经济价值的数据信息成果享有财产权益，将极不利于大数据产业的商业投入和进一步发展，故应当允许数据信息控制者对这些大数据信息享有部分财产权益。二、大数据知识产权司法保护的实践样本随着大数据产业的不断发展，企业之间围绕大数据而引发的争议也日渐凸显，其中一些已经诉诸法院寻求司法保护。（一）白兔公司诉鼎容公司数据库侵权案[2]白兔公司利用国家商标总局的商标公告资料汇编了一个商标信息数据库，开发了查询软件，有偿供用户查询，并对外销售查询系统。鼎容公司的微信公众号“鼎容商标查询”出现的商标查询结果，带有白兔公司加注的暗记。白兔公司认为，鼎容公司通过反向破解获取、复制了白兔公司的数据库，用于盈利，构成侵权。对此，法院认为，白兔公司对国家商标局商标公告中的商标信息内容进行提取、分类和整理，并对商标标志中所含的文字、数字等进行进一步提取和整理，同时还对商标信息后续的变更情况进行汇总，加入自定义的字段信息等。白兔公司对商标数据的编排和整理体现出独创性，白兔公司的涉案数据库构成汇编作品，可受著作权法保护，白兔公司对涉案数据库享有著作权。鼎容公司数据库中存在多个含有白兔公司暗记的商标标志，在鼎容公司不能证明前述数据来源于其他地方的情况下，可以认定鼎容公司实施了复制白兔公司数据库多个商标的数据行为，侵犯了白兔公司对其数据库享有的复制权。（二）新浪微博诉脉脉抓取使用微博用户信息案[3]该案被称为“大数据引发不正当竞争第一案”。新浪微博的运营方微梦公司主张，淘友技术公司、淘友科技公司通过脉脉软件实施的不正当竞争行为包括：非法抓取、使用新浪微博平台的用户信息，以及通过脉脉用户手机通讯录中的联系人，非法获得并使用这些联系人与新浪微博用户的对应关系。对此，法院认为，互联网中网络平台获取并使用用户信息应遵循的基本原则是“用户明示同意+最少够用原则”。数据的获取和使用，不仅能成为企业竞争优势的来源，更能为企业创造更多的经济效益，是经营者重要的竞争优势与商业资源。因此，网络平台提供方可以就他人未经许可擅自使用其经过用户同意收集并使用的用户数据信息主张权利。互联网中第三方应用通过开放平台例如 Open API 模式获取用户信息时，应坚持“用户授权+平台授权+用户授权”的三重授权原则。淘友技术公司、淘友科技公司未经微梦公司授权，获取并使用新浪微博用户的职业信息、教育信息，未经非脉脉用户的新浪微博用户同意，获取并使用其新浪微博的相关信息，损害了用户的知情权、选择权和隐私权，破坏了新浪微博运营方微梦公司的竞争优势和互联网行业的公平竞争秩序，构成反不正当竞争法第二条规定的不正当竞争行为。（三）大众点评诉百度抓取点评信息案[4]大众点评网的运营方汉涛公司主张百度公司实施的不正当竞争行为系百度公司在百度地图、百度知道中大量使用了大众点评网的点评信息，替代了大众点评网向用户提供内容，攫取汉涛公司的市场份额，削减汉涛公司的竞争优势及交易机会。对此，法院认为，市场主体在使用他人所获取的信息时，要遵循公认的商业道德，在相对合理的范围内使用。百度公司商业模式上的创新确实具有积极的效果，而汉涛公司对涉案信息的获取付出了巨大的劳动，具有可获得法律保护的权益，在此情况下应当对两者的利益进行一定平衡。但百度公司通过搜索技术抓取并大量全文展示来自大众点评网的信息，其欲实现的积极效果与给大众点评网所造成的损失并不符合利益平衡的原则，且百度公司明显可以采取对汉涛公司损害更小，并能在一定程度上实现积极效果的措施。百度公司的涉案行为已超出了必要的限度，这种行为不仅损害了汉涛公司的利益，也可能使得其他市场主体不愿再就信息的收集进行投入，破坏正常的产业生态，并对竞争秩序产生一定的负面影响。同时，这种超越边界的使用行为也可能会损害未来消费者的利益。（四）hiQ Labs，Inc.与LinkedIn Corporation 数据争议临时禁令案hiQ 的业务涉及向企业提供基于公共可用数据统计分析的员工信息，它的数据分析业务依赖于 LinkedIn 的公共数据。2017 年 5 月 23 日，LinkedIn 向 hiQ 致信，要求其立即停止抓取未获授权的数据以及其他妨碍 LinkedIn 用户协议的行为。还表示，已经在 LinkedIn 上限制了 hiQ的公司主页，并将 hiQ 未来任何类型的访问都视为未经LinkedIn 允许、未获 LinkedIn 授权。LinkedIn 进一步表示，其已经实施了技术措施，通过检测、监控和阻止抓取行为的系统来禁止 hiQ 访问等。hiQ 针对 LinkedIn 的行为提起诉讼，并提出请求发布临时禁令的动议。针对临时禁令，法院认为，困难平衡因素十分有利于 hiQ，hiQ 已经提出了严重的问题，即 LinkedIn 的行为可能是排除竞争的行为，LinkedIn 用户在其公开数据中的实际隐私利益是不确定的，很可能那些选择对公众开放设置的人期望他们的公开形象会被搜索、挖掘、整合和分析，且授予 LinkedIn等私人实体权利以任何理由阻止访问者在其网站上获得公开的信息，并受到 CFAA 制裁，这会通过互联网对公共话语和信息的自由流动造成有害的威胁，因此法院认为，发布临时禁令更有利于公共利益，故最终支持了 hiQ 有关临时禁令的动议。此外，有些争议虽然未诉诸司法，但其中体现的问题亦值得关注，比如华为与腾讯的微信数据争议、顺丰与菜鸟裹裹的数据争议等。纵观上述案例，司法实践中对于大数据引发的数据信息争议的保护模式已初见端倪。三、数据信息知识产权司法保护模式的构建在法学视野下的大数据是一种大规模的数据信息集合，它依托于互联网及相关技术产生，以包含尽可能多的数据种类与数据量为目标，通过对种类繁多和数量庞大的数据信息的排列或者关联实现预测与判断的功能，并以此体现有别于传统数据分析的独特价值——它可以从纷繁的数据信息中归纳、抽象出潜在的规律或结果，且随着应用内容的变化而创造出迥异的使用价值。[5]结合理论与上述案例来看，对于具有独创性的数据信息作为作品或者汇编作品通过著作权法予以保护、对于商业主体不为公众所知悉且能带来经济利益并采取保密措施的数据信息通过商业秘密条款予以保护、对于涉及技术服务合同或许可合同等的数据信息通过合同法予以保护，在理论与实践中基本达成一致观点，但对于大数据竞争案件中适用反不正当竞争法原则条款予以保护仍存有争议。有学者认为，反不正当竞争法第十条已经规定了禁止盗用商业秘密的条款，为企业数据的保护设定了保护要件，立法者已经就数据权益的保护和市场要素的流通之间谨慎作出了利益平衡，如果允许不满足第十条保护条件的企业数据继续享受第二条的保护，则必将打破上述平衡从而过度干预市场竞争。[6]但在大数据产业发展背景下，新的商业模式诞生，虽然公开渠道获得的数据不宜赋予排他性权利，但若不考虑市场竞争利益的平衡而“一刀切”地不予保护，显然也不利于促进创新、公平竞争以及消费者的长远利益。最高人民法院陶凯元副院长在第四次全国法院知识产权审判工作会议上指出：“对互联网、大数据、人工智能等领域，要妥善运用知识产权立法中的兜底性规定、反不正当竞争法的原则条款、法律目的条款等，适时慎重补充承认新类型创新权益，增强市场主体在未知和风险领域的创业创新活力和投资意愿，催生原创成果和前沿成果。”那么在立法层面尚未就数据信息的竞争权益制定具体条款前，笔者认为，应当妥善运用竞争法的原则条款对数据信息竞争予以规制和保护。（一）商业数据信息受保护的前提大数据时代背景下，数据信息已经成为部分数据信息控制者主要的竞争资源，那么是否所有数据信息的控制者掌握的数据信息都应当受到保护呢？答案当然是否定的，因为商业数据信息受保护有一项最基本的前提——来源合法，即数据信息的收集行为未侵害其他主体的合法权益。该问题主要涉及两个方面：第一，数据信息的收集未侵犯个人隐私或者已征得相关个人的同意。民法总则已经明确任何组织和个人不得非法收集数据信息，因此，倘若在该信息收集的行为本身已经违反法律规定的情况下，则不应认为数据信息控制者就该部分数据存在合法权益。第二，数据信息的收集未侵犯其他商业主体的法定权利，否则该收集行为本身就属于应当被制止的数据利用行为，不存在权益基础。（二）竞争法角度的数据信息保护数据信息的使用是非排他性的，因此，对于数据信息的使用行为并不能一刀切地认为侵害了数据信息控制者的权益。当前有关数据信息竞争案件的核心争点在于，具有竞争关系的商业主体之间数据信息利用行为是否具有正当性。从保护数据信息控制者竞争权益的角度而言，对于不正当地利用他人数据的行为应当予以制止，但从另一方面而言，竞争法的目的是鼓励竞争而非排除竞争，所以也必须防止过度保护而导致的数据信息垄断。因此，确立合理的数据信息利用秩序，划清数据信息利用行为的边界，对市场主体的行为预期、公共利益的保障以及产业发展均具有重要意义。数据信息现尚未被确定为法定的财产权利客体，特别在这些信息处于公开领域中时，他人的使用行为并不能当然地被认为具有不正当性，但也不能因为信息使用的非排他性而不加节制地允许市场主体任意地使用或者利用他人通过巨大投入所收集的数据信息，否则将不利于鼓励商业投入、产业创新和诚实经营，最终损害健康的竞争机制。在判断具有竞争关系的主体利用他人数据信息是否具有正当性的问题上，纵观我国反不正当竞争法所列举的具体不正当竞争行为，这些行为均是通过直接获取他人竞争资源或者破坏他人经营基础来获得不正当的竞争优势。反不正当竞争法第二条规定，经营者在生产经营活动中，应当遵循自愿、平等、公平、诚信的原则，遵守法律和商业道德。可见，我国反不正当竞争法规制不正当竞争行为的落脚点在于是否违反商业道德。商业道德本身是一种在长期商业实践中所形成的公认的行为准则，但大数据产业领域中的各种商业规则整体上还处于探索当中，市场主体的权益边界尚不非常清晰，某一行为虽然损害了其他竞争者的利益，但可能同时产生促进市场竞争、增加消费者福祉的积极效应，诸多新型的竞争行为是否违反商业道德，在市场共同体中并没有形成共识。在判断数据信息使用者使用他人数据信息的相关行为是否违反商业道德、扰乱公平竞争的市场秩序时，一方面，需要考虑大数据产业发展需求和互联网环境中数据信息共享的特点。大数据产业是以数据及数据蕴含的信息价值为核心资源所构成的产业形态，其发展必定涉及数据信息的利用，而存在于互联网环境中的数据信息本身亦具有共享性的特点，在保护数据信息控制者基于大数据信息而获得的合法权益的同时，也要保障其他主体对这些信息的合理获取和利用。另一方面，要兼顾数据信息控制者、数据信息使用者和社会公众三方的利益，在利益平衡的基础上划定行为的边界。从数据信息控制者的角度来看，数据信息控制者为了数据信息的收集、分析，需要耗费大量的人力、物力投入，特别是对于以大数据为商业模式的商业主体而言，其掌握的数据信息就是企业生存之本；从数据信息使用者的角度来看，数据信息的深度共享是大数据时代发展的必然趋势，也体现了自由竞争的需求，数据信息的使用者对数据信息的利用也可能将会促使新的大数据产业模式的诞生和大数据时代的进一步发展；从社会公众的角度来看，其对于数据信息的使用也将为其生活带来便利。那么，边界应当如何划定？数据信息使用者怎样的利用行为才是正当的？首先，数据信息使用者获取他人数据信息的手段合法。数据信息控制者有权就其享有合法权益的数据信息设置必要的保护措施，倘若数据信息使用者的获取行为是建立在破坏他人保护措施的基础上的，那么该行为很难被认为具有正当性。其次，数据信息使用者利用他人数据信息应当具有积极效果。市场经济鼓励的是效能竞争，而非通过阻碍他人竞争、扭曲竞争秩序来提升自己的竞争能力。如果数据信息使用者是完全攫取他人劳动成果，提供同质化的服务，这种行为对于创新和促进市场竞争没有任何积极意义。再次，数据信息使用者利用他人数据信息应当在必要的限度内。数据信息的共享并不是完全不受任何限制的，任何行为均应当有其限度，在可以满足自身商业模式发展的同时存在对于他人权益损害更小的方式的情况下，数据信息使用者应当遵循他人权益受损最小化的原则，而非自身权益最大化标准，否则亦难以认为其行为具有正当性。最后，数据信息利用行为对市场秩序和公共利益未产生负面影响。反不正当竞争法的立法目的是维护自由和公平的市场秩序，任何市场竞争行为均不应建立对市场秩序的破坏上，更不能因其行为而影响到产业发展并使公共利益受损。综上，只有准确地划定正当与不正当使用信息的边界，才能达到公平与效率的平衡，实现反不正当竞争法维护自由和公平的市场秩序的立法目的。这种边界的划分不应完全诉诸于主观的道德判断，而应综合考量上述各种要素，客观地审查行为是否扰乱了公平竞争的市场秩序。注释[1]吴韬《法学界四大主流“数据权利与权属”观点》，http://www.sohu.com/a/117048454_481893[2]一审：（2016）粤0604民初1541号，二审：（2016）粤06民终9055号[3]一审：（2015）海民（知）初字第12602号，二审：（2016）京73民终588号[4]一审：（2015）浦民三(知)初字第528号，二审：（2016）沪73民终242号[5]王德夫《知识产权视野下的大数据》，社会科学文献出版社，2018年7月第1版，第34-35页[6]刘维《谨慎划定数据保护的边界——兼及数据利用秩序的制度供给和适用》，http://www.hyattorney.com/?p=336
发布时间：2020-11-02 15:30:20
【数据专题】个人信息主体权利之“账号注销权”落地——兼评新国标35273 来源：全国信息安全标准化技术委员会网站关于“账户注销”的规定是2020年3月颁布的新版国家标准《个人信息安全规范》（“新版35273”）中受到广泛关注的亮点之一。2017年12月版的国家标准《个人信息安全规范》仅对注销账户事宜要求个人信息控制者提供简便易操作的注销方式、在注销后删除或匿名化处理个人信息（第7.8条），但对于何种方式是“简便易操作”、如何落实注销并没有进一步说明，就此埋下伏笔。随着过去两年尤其是2019年四部委开展App违法违规收集使用个人信息专项治理活动中不断总结和归纳出App收集使用个人信息的各种正面和负面做法，这一“伏笔”在新版《个人信息安全规范》中终于得以全面展开，明确和细化了落实个人信息主体的“账号注销”要求，大幅提升了个人信息控制者的相关义务。下文结合新版35273的相关条款规定，梳理了企业在落地实施“账户注销”时的九个常见问题：问题一问：企业是不是“必须”允许用户注销账户？答：是的。虽然35273是推荐性国标，但用户有“注销权”并非由这一国家标准所创设，而是以法律和部门规章为依据，是企业（本文系指作为个人信息控制者的互联网产品/服务提供者，下称“企业”/“互联网企业”）的“法定”义务。《消费者权益保护法》规定了消费者享有自主选择商品或服务的权利（第九条）、公平交易的权利（第十条）。如果用户只能选择注册账号（开启服务）但不能选择注销（拒绝服务），则显然侵权了消费者“自主决定不接受服务的权利”并强迫用户继续交易。工信部在《电信和互联网用户个人信息保护规定》（工信部24号文）中更是明确了电信和互联网信息服务的用户享有“账号注销权”：“电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务”（第9条3款），除非法律和行政法规另有规定。如企业违反了账号注销义务，24号文还进一步设定了法律责任：“由电信管理机构依据职权责令限期改正，予以警告，可以并处一万元以上三万元以下的罚款，向社会公告；构成犯罪的，依法追究刑事责任。”所以，确保用户注销账号的权利，这个必须有。问题二问：为了实现“账号注销”，互联网企业通常要在网络产品与用户交互页面做哪些开发？答：开发专门的账号注销流程页面。为了实现用户的“账号注销权”，企业至少需要在用户可感知到的网络产品交互层面为用户提供“简便易操作”的账户注销方式（新版35273第8.5.a)条）。特别的，针对采用交互式页面（如网站、移动互联网应用程序、客户端软件等）提供产品或服务的场景，新版35273还特地就何为“简便易操作”的注销方式给出了具体建议：直接设置便捷的交互式页面提供功能或选项，便于个人信息主体在线行使其注销账户等权利（第8.7 b)）。综合来看，目前互联网企业为满足上述“账号注销”的要求，在网络产品端进行的常见开发工作包括：注销入口页。在应用内或网站上设置清晰的注销入口页，方便用户在线点击按键或菜单发起“注销”请求，避免让用户自己去另行查找客服电话或客服邮箱而提出注销申请。参照《App违法违规收集使用个人信息行为认定方法》中对于隐私政策“难以访问”的认定标准，建议将“注销”入口设计在自主页起点击不超过4次可见的页面，避免在线发起“注销”请求不够“直接便捷”或者因注销入口埋得太深，达不到实际效果。增强告知页。开发关于账号注销后果的增强告知页面，并且在注销前给予充分、明确的提示，以起到详细告知和增强告知的效果。在线表单页。如果注销流程需要用户提交验证信息或有关账号的信息时，则适合采用在线表单页的信息提交方式。这种提交方式不仅为用户提供便利，也有助于收集到的信息格式规范统一，并避免以客服公号、电话或邮件直接获取用户提交的申请或验证信息时保密性不够（例如客服人员可直接获取用户提交的未加密的个人信息）。流程展示页。在注销流程的周期内也保持在应用内或网站上可以方便地找到和查看流程进展情况。注销后状态显示。注销完成后该账号下原有信息在应用内的显示状态（如其他用户在社区内还可以看到该账号下已发表的言论、已注销账号下的角色等），如不可删除的话，则应标识出改账号已注销或角色为灰色不在线状态。当然，如果是注销全流程仅提供客服电话方式应答用户的，则需要确保客服系统和人工坐席亦能充分实现用户可以便捷找到电话入口、电话输入验证信息（如身份证号码、密码）、被充分告知注销结果以及何时能够注销、注销后的信息如何处理等。相应地，用户难以找到注销流程入口、告知用户不能注销账号、用户在注销流程中发现操作非常复杂或不便等，均与新版35273第8.5.a)条、第8.7 b)条的规定不符。问题三问：互联网企业是否可以为“账号注销”设置条件？答：可以设置。常见的账号注销条件可分为两大类：身份核验条件、账号状态条件。身份核验条件。设置此类条件符合新版35273第8.7a)规定的“验证个人信息主体身份后”才需要响应用户行权要求，旨在确保账号注销申请系用户本人操作，例如要求用户进入登录状态后才能发起注销申请、如忘记账号密码的要先找回；提供注册账号时的身份证号（仅限于此前提供过身份证号码的用户）或提交已绑定手机号的动态验证码。当然，为了确保收集信息“最小化”，更为进阶的方式是基于风险判断对身份核验条件区分对待，如账号下的剩余权益越小，所需的验证信息越少；账号下的权益越大、待决交易/问题越多，所需的验证强度越大，只是验证强度的最大值还是控制在注册账号阶段以及使用过程中所收集的数据类型范围内，即如前所述“注销过程如需进行身份核验，要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型”。账号状态条件。此类条件的设置多是为了保护用户、第三方、企业的合法利益，例如账号下没有尚未处理完毕的交易、没有已提供服务但未支付的订单、账号未被封禁、没有尚未处理完毕的客诉或纠纷（与其他用户的侵权纠纷、投诉举报或被投诉举报）、没有其他不得注销的情形（如新版35273第第8.7e)中的八种情形）。但此类条件并不应该要求用户必须用尽账号下的权益、账号必须已经注册完成满一定周期等，如用户自愿选择放弃账号下相应权益的应予以注销。但是，企业自行设置的这些注销条件不能“不必要或不合理”。根据新版35273第8.5c)、d)款、2019年11月四部委《App违法违规收集使用个人信息行为认定方法》第六2条、2020年3月信安标委《网络安全标准实践指南—移动互联网应用程序（App）个人信息安全防范指引（征求意见稿）》（“网络安全标准实践指南”）问题3的规定，其中常见的“不必要或不合理”的注销条件如：身份核验时要求用户再次提供的个人信息类型多于注册、使用等服务环节收集的个人信息类型，特别是注册和使用环节没有要求而在注册环节要要求用户提交身份证正反面照片、手持身份证照片、人脸认证、绑定银行卡。对于采用同一账号注册登录多个App的情形，用户注销单个App时只能注销用户账号，导致用户无法使用其他相关App。在这种“注销单个账户视同注销多个产品或服务”的情况下，不同的应用相互独立的，却又不允许用户针对单一应用的账号提起注销，应为不合理的注销条件。要求用户必须填写精确的历史操作记录，例如注册时间/注册地点/特定登录时间及地点等信息……同时，《消费者权益保护法》也特别强调了“不得设定不公平、不合理的交易条件”（第10条），而如何注销账号无疑是重要的在线服务交易条件，因此应该“公平、合理”。另外，注销条件的设置也要特别注意符合《民法典》的相关规定。《民法典》的亮点之一就是细化格式条款的制度，加强对消费者权益保护。企业列举出的注销条件通常构成互联网服务在线协议中的格式条款，因此需要遵循《民法典》第496条2款的规定，确保“应当遵循公平原则确定当事人之间的权利和义务”，否则很容易被用户/监管机构/消保组织认定“免除企业责任、增加用户责任或排除用户主要权利”，从而适用《民法典》第497条主张该等注销条件的规定无效。所以，以上列举的不合理注销条件为用户注销权设置了重重障碍，增加了用户选择退出的难度，不仅不符合新版35273的规定，更是涉嫌违反了《消费者权益保护法》、工信部24号文和《民法典》。问题四问：如果多个产品或服务之间共用一个账号且无法拆分的，如何注销？答：确认无法拆分的，注销前予以详细说明。根据新版35273第8.5d)，如果多个产品或服务之间存在“必要业务关联关系”的，例如一旦注销某个产品或服务的账户，将会导致其他产品或服务的必要业务功能无法实现或者服务质量明显下降的，则需要在注销账号前向用户进行详细说明。这里的重点包括：1）多个产品/服务之间必须要存在“必要”关联关系。例如，不少企业都创建了自己中心账号平台系统（“平台端”），该企业（集团）提供的各个应用（“应用端”）均统一使用中心账号作为通行证，从而统一实现身份认证、账号管理、积分累计、充值兑换以及后台数据中心安全管理等。如用户注销了中心账号的，就无法再使用通过该账号登录和管理该企业的各应用端。平台端和应用端系同一个人信息控制者或至少是共享数据的关联企业所控制。而如果不同的应用之间相互独立的，就不应“注销单个账户视同注销多个产品或服务”。此外，为了提供便利的注销入口，用户应该不仅在平台端可以提起注销中心账号，在接入平台的每一应用端也应明确设置管理中心账号的入口甚至直接提供可以跳转到中心账号平台进行中心账号注销的入口（但此处需要有提醒，即明确告知注销中心账号平台与注销单一账号的不同后果）。2）在注销账号前向用户进行详细说明。正如上文所述，对于用户在注销中心账号后对所有应用端的服务会产生何种影响和后果，注销流程中应该明确提示和告知用户，同时也多会提示用户对账号下的各种信息进行自我备份。中心账号的注销流程中还应告知用户使用该账号登录的应用有哪些，而不是让用户自己去查找；如果可以解绑登录某个应用的，中心账号也可以进一步考虑提供便捷的解绑方式，即中心账号端也提供途径便于用户退出某个使用该账号的应用（但在该应用端还需要删除非账号信息，才构成注销该应用端的账号）。如果中心账号系统下可以获取所有应用端内的使用信息的，则可以详细展示在注销申请时使用该账号登录的每一个应用端服务的订单/交易/积分/已发布信息/等。不过，多数企业囿于各种内部系统结构、应用端的查询接口设置、应用内信息的复杂、注销流程的设置等，难以详尽列举出在注销申请之时所有应用端内的具体权益清单，但是会列举出因为注销中心账号而受到影响的权益类型，例如账号下的所有资料和信息均无法找回、使用该账号登录的服务将无法再使用、账号下的积分/充值/卡券/票券/未消费的财产都将无法使用，特别是要尽可能详细地提示账号内有哪些财产权益无法再使用（至少提示到权益的类型，如XX币、XX积分）。同时，无论是否展示每一应用端服务在注销申请时的动态详情，企业都要需要全面核查使用该中心账号的应用端内是否存在不得注销的情形，并且需要在用户服务协议或者其他单行规则中详细描述不得注销的各类情形，以便用户提前知悉与理解。问题五问：如果产品/服务没有独立的账号体系的，如何注销账号？答：既要删除非账号信息，也要解除账号关联。根据新版35273第8.5d)，如某一产品或服务没有独立的账户体系的，则其账号注销方式为“对该产品或服务账号以外其他个人信息进行删除，并切断账户体系与产品或服务的关联等措施”。《网络安全标准实践指南》问题3也提出“如用户采用同一账号注册登录多个App时，可提供解除单个App用户账号使用关系的渠道”。即，无独立账号体系的应用应采取“删除非账号信息”+“解除账号关联”的方式来履行该应用的注销义务。如果不同的应用是相互独立的、并非存在“必要”关联关系，就应该支持用户针对单一应用提起账号注销。相对于直接注销“中心账号”，上述“删除”+“解除”的注销方式适用范围更为广泛，大量使用集团中心账号、渠道方账号、第三方账号登录的应用没有自己的账号体系，对于账号体系也没有知情和控制能力，无从注销完整的用户账号。但并不因此就免于承担“注销”义务，还是应该确保实现：清除或匿名化应用内的非账号信息（如删除UGC内容会影响其他用户问答的除外），彻底解除账号与应用内UID的绑定关系，例如取消授权登录关系、取消账号和应用内UID及其订单/角色/信息的映射关系，最后在外显上的呈现效果为应用内用户的头像和角色取消或呈现灰色（注销）状态。当然，如果在单个应用内收到用户的账号注销申请的，除了应按照上述方式进行注销外，还是要向用户说明注销的结果：仅及于本应用内的“删除非账号信息”和“解除账号关联”、如需注销XX账号的应另行到XX（“XX账号的注销页面”）提起申请。问题六问：企业需要制定专门的注销条款吗？答：没有强制要求，但是建议制定。注销账号看起来只是用户提出的一个账号处置要求，但却同时会触发合同法律关系和个人信息保护双重领域的重大法律后果：服务合同关系终止、个人信息删除。虽然新版35273没有对此提出明确的要求，但结合相关法律和普遍做法，建议企业还是制定专门注销条款来写明账号注销的条件、后果、方式、流程等。这些注销条款的形式包括（1）在用户服务协议和隐私政策下的专条或专节；（2）作为用户服务协议之一部分的单行注销协议；（3）交互页面上的注销须知或弹窗告知注销条件、流程和后果。如前所述，在合同法层面，注销条款通常构成互联网服务在线协议中的格式条款，企业相应需要遵循《民法典》第496条2款中的规定，充分履行格式条款制定方的提示和说明义务，包括采取合理的方式提示用户注意免除或者减轻用户责任等与用户有重大利害关系的条款,并按照用户的要求对该条款予以说明。否则，因此致使用户没有注意或者理解与其有重大利害关系的条款的,对方可以主张该条款不成为合同的内容。“账号如何才能注销”是重要的服务条件、可能影响用户的选择，应确保用户在注册时对注销条款的“知情权”，即无论采用哪种形式，注销条款均应在用户注册账号时即可查阅知悉并以合法方式（避免采用默认同意/browse wrap方式）生效，也确保用户即使不提起注销申请也能得知注销条件、后果、流程，并且避免发生用户不同意格式条款就不能注销的情况。同时，考虑到注销条款作为服务协议的一部分在先已经生效，注销环节无需用户再次同意注销条款，但通常为避免用户误操作、确保尽到提示义务，企业会增强提示注销条件和后果，例如单独弹窗页面展示详细的注销须知、注销流程页面中加粗文字提示注销后果、提示用户阅读后再主动申请。相应的，企业也要注意从消费者权益、格式合同条款的角度：同步审核注销条款、流程设置、通知文本，并规范客服应答话术和处理方式。需要注意的是，参照新版35273第8.5e)，如注销账户的过程需收集个人敏感信息核验身份的，则注销条款（特别是采用单行页面、注销须知等方式展示时）中应特别注明：收集个人敏感信息后的处理措施（例如达成目的后立即删除或匿名化处理等）。这一规定亦表明新版35273全面关注个人敏感信息的全生命周期，要求注销后的个人信息处理活动亦应该遵守“公开透明”原则（新版35273第4 e））。问题七问：企业对于用户的“账号注销”请求有应答时间要求吗？答：是的，有应答时间要求。对于用户提起的“注销”请求，企业既需要及时受理也需要及时处理完毕，不能不受理也不能虽受理却拖延处理。但是多个规范性文件中关于企业应答“账号注销”的期限要求却不尽相同： “综合”以上要求并取其高者，建议最为稳妥的应答周期设置是：自收到用户账号注销请求之日起，至少在15个自然日内予以受理且在15个工作日内完成处理。对于何为“完成处理”有不同理解，多数观点认为，“完成处理”意味着应答期限届满时不应处于账号注销的处理流程中，而是应已经完成了对该账号的注销或者如不能注销的已提供了正当合理事由给提起注销请求的用户。在注销流程期间，用户账号通常处于“冻结”状态且企业多允许用户在注销流程期间提出撤回申请、主动终止注销流程。此外，就注销流程的周期，实践中有些企业还为用户“强制设置”了反悔期，即账号满足注销条件、注销流程已完成，但接下来并不真正“注销账号”，而是需要待XX日后用户不反悔的，才真正注销账号。其实，在注销后果已经告知充分的情况下，结合新版35273的精神，这种反悔期的强制设置还存在一些争议，既没有做到在用户注销账户后“及时”删除或匿名化处理用户个人信息，实质上还设置了额外的应答处理周期。当然，为了在特定场景下避免用户“误注销”（例如账号下的余额很大，一旦误操作对用户权益影响很大），可以考虑让用户再次确认注销请求、自行选择是否迟延，这是一个用户可以“自选”的“冷静期”设置，而不是“强制”用户迟延注销，例如：“验证已通过、马上注销”或“冻结7日，我再想想。7日后提醒我确认是否要注销”。如经过自选“冷静期”设置以及注销后风险的重点提示，用户仍然确认注销或未撤回注销请求的，则应即时注销，而这时误操作注销的风险完全转移至用户自身承担也是合理的。问题八问：用户注销账号之后，企业需要做什么？答：简单来说，该删除的数据要删除、该保留的数据要保留、留下来的数据别乱用。按照新版35273第8.5.f)规定，个人信息主体注销账户后，企业应及时删除其个人信息或匿名化处理；因法律法规规定需要留存个人信息的，不能再次将其用于日常业务活动中。这里的要求是企业必须真正做到“前端与后台统一”，前端显示已注销的、后台需要也已进行了相应操作。当然，通常企业对于用户注销流程会设置一个结单步骤，例如按照用户提起注销行权时要求留下或指定的该用户账号下的手机号/邮箱地址向其发送一次结单通知、告知账号注销流程已经完成，以便用户知悉注销后果自结单之日起发生，从而结束2C层的注销流程。这样的接单流程虽然不是规范性的要求，但从用户角度而言，能够安心获知注销结果；从企业角度，也能够更好地留存配合用户行使权利的证据。自此，企业的账号注销义务进入“后注销阶段”，这一阶段的数据处理活动是最为关键和实质性的，重点已从应答用户转为实施内部技术与组织措施相配套的过程，既包括积极作为也包括消极不作为义务：1) 积极义务：注销后该账号下的数据要进行删除或者匿名化处理（除非有法定留存要求）。除了及时销毁纸质存储文件，更应即时去除通过系统存储和备份的已注销账号信息、使其保持不可被检索、访问的状态；或者对该账号下的信息进行匿名化处理，使得已注销账号的用户个体无法再被识别或者关联，且处理后的信息亦不能被复原（新版35273第3.10、3.14）。2) 积极义务：全面识别和遵守“法定”的数据留存要求。有关数据留存要求的“法定”事由有的来自“法律法规”，有的则是部门规章或主管机关的各种发文，因此相关的规范性文件来源分散、效力级别不尽相同，但却需要全面识别、避免遗漏。如有不同法定事由而对同一数据有不同存储周期要求的，则该等数据的存储周期取其中较长者。常见的法律法规中对“存储周期”的要求例如：与监测、记录网络运行状态、网络安全事件的技术措施相关的网络日志保留不少于6个月（《网络安全法》第21条），电子商务平台经营者应保留商品、服务信息、交易信息自交易完成之日起不少于三年（《电子商务法》第31条），而通常一些企业也会将账号实名认证和基本交易信息保留至注销后三年以便满足诉讼时效内发生用户权益纠纷时举证之需（《民法典》第188条）同时，大量行业垂直监管法规、部门规章和其他规范性文件中也有各种纷繁复杂的数据存储周期要求，例如：征信机构对个人不良信息的保存期限为自不良行为或者事件终止之日起5年（《征信业管理条例》第16条），互联网信息服务提供者和互联网接入服务提供者的记录备份保存60日（《互联网信息服务管理办法》第14条），用户账号下用作会计档案原始凭证中的数据应保留至从会计年度终了后的第一天算起10年或30年（《会计档案管理办法》第14条），健康体检信息留存应自受检者最后一次就诊之日起不少于15年(《健康体检管理暂行规定》第22条、《医疗机构病历管理规定》第29条)，互联网文化单位对所提供的文化产品内容及其时间、互联网地址或者域名的记录备份应当保存60日（《互联网文化管理暂行规定》第20条）等。这些规范性文件的规定也应予以重视和遵守。3) 消极义务：隔离存储、不再使用基于上述“法定”事由而需要留存注销账号下个人信息的，则必须确保仅为满足该等法定事由而留存，不得为超出相关法定事由的目的而继续使用和处理数据，保持隔离存储、不再使用的状态，尤其不得向已注销账号的用户推送服务或将原账户下的部分信息激活再使用。“账号注销”意味着服务合同终止，终止后企业就不应再对用户提供服务；在用户已通过注销账号来表示明示拒绝的情况下，不得继续使用未注销前的账号信息向用户发送商业性信息。问题九问：企业的“账号注销义务”是否有豁免情形？答：是的，有豁免情形。根据新版35273第8.7e)，企业可以在8种情形下拒绝响应用户提出的注销请求。但是工信部24号文中规定的“注销权”的例外范围却并没有如此宽泛，而是严格限定于“法律、行政法规另有规定”，即能够豁免企业注销账号义务的依据，也仅限于法律和行政法规的规定，而较为尴尬的是，现有法律和行政法规中针对“注销”义务的例外规定却尚付阙如。因此，综合来看，除非企业有明确证据证明注销账号会违反企业的法定义务、与国家安全、国防安全直接相关的；与公共安全、公共卫生、重大公共利益直接相关；与刑事侦查、起诉、审判和执行判决等直接相关，否则企业自行决定依据新版35273的8种情形来豁免注销义务，会非常容易引起争议，用户有权主张企业违约或者违反《消费者权益保护法》和工信部24号文，并进一步投诉举报或提起诉讼。建议的做法是：企业考虑把新版35273中免于注销义务的情形（特别是上述8种情形中非基于公权力要求、企业自由裁量大、举证较为复杂的后4种情形）明确列举在注销条款中（并考虑细化条件或给出举例说明），提前让用户了解、在先约定且确保生效，避免在先的合同约定不清、发生注销请求时企业又自行临时依据推荐性国标来拒绝用户行权。当然，根据新版35273第8.7f，企业无论是基于注销条款的约定还是基于注销义务的豁免而决定不响应个人信息主体的请求，都应向用户“告知”该决定的理由，并向个人信息主体提供投诉的途径。例如企业可以通过应用内或网站的注销流程告知页面、通知提示栏、用户预留的短信/邮件等书面告知用户为何不能注销其账号，并同时告知如果处理结果让用户不满意的，可向哪些部门（网信、工信、市场监督管理部门、消保组织、行业主管机构等）进行投诉。（作者：薛颖互联网公司法务个人观点，不代表所在单位立场）
发布时间：2020-11-02 15:19:40
【数据专题】数据产权司法保护研讨会成功举办 9月8日，由北京市高级人民法院知识产权庭主办，北京知识产权司法保护研究会承办的数据产权司法保护研讨会在北京召开。最高人民法院知识产权庭秦元明等法官代表，北京市高级人民法院审委会专职委员、知识产权庭庭长杨柏勇，数据产权课题组法官代表，北京知识产权司法保护研究会副会长、北京大学法学院教授易继明，北京知识产权司法保护研究会副会长、中国传媒大学政法学院教授刘文杰等专家代表，北京知识产权司法保护研究会秘书长普翔，研究会单位会员代表腾讯、京东、贝壳找房等参加了研讨会。此次研讨会基于最高人民法院向北京市高级人民法院知识产权庭下发的《关于协助做好数据产权司法保护调研工作的通知》，北京市高级人民法院知识产权庭结合数据产权纠纷的典型案例，收集审判实践中的问题，了解数据产权基本规律及行业实际需求，北京知识产权司法保护研究会承接了此次调研的前期数据资料收集、案例分析、会员数据产权调研等工作，并以课题研讨会的形式对前期工作进行汇报总结。此次会议由北京市高级人民法院知识产权庭审判长亓蕾主持。杨柏勇▲会议伊始，杨柏勇庭长致辞，他首先对各位与会代表的参加表示感谢，并介绍了此次课题研究的背景，他表示，根据《关于构建更加完善的要素市场化配置体制机制的意见》要求，数据保护要根据数据性质完善产权性质，制定数据隐私保护制度和安全审查制度，推动完善使用于大数据环境下的数据分类分级安全保护制度，加强对政务数据、企业商业秘密和个人数据的保护。在互联网信息技术的迅猛发展的背景下，不断挖掘探索数据价值的同时，对于数据的保护就显得尤为迫切，其中大数据的知识产权保护成为了重中之重，也给知识产权司法保护带来了新的挑战。普翔▲普翔秘书长对数据产权司法保护课题前期工作成果作了详细的汇报，他从哲学、政治学、历史学、经济学、法学等方面引出对数据本身的认知，介绍了工作思路分为学术理论收集、政策法规整理、国内外判例搜集、调查与研究四个部分。主要成果根据前期资料收集将资料汇编成册共计55部，基于课题研究的需要，针对不同领域数据相关企业进行访问调研，撰写文献综述，实时更新资料。收集相关法律法规、政策、论文专著、相关案例等资料。调查研究成果，提出了在研究中遇到的问题，并给出了一些司法解释建议。易继明▲刘文杰▲易继明教授、刘文杰教授两位专家组代表，对课题研究分别发表了他们的专业意见，易继明表示，数据库、商业秘密、技术保密措施等均涉及到数据产权的问题，并从数据信息权的角度对数据产权司法保护提出自己的看法。刘文杰表明产权的概念在不同的语境下具有不同的含义，根据目前的司法实践，焦点主要集中在数据包、数据集合的保护上，他表示目前对于数据产权的保护主要是适用反不正当竞争法。研究会单位会员代表腾讯、京东、贝壳找房结合他们实际情况，发表了对于信息数据是如何保护的，以及行业内大数据企业对于立法方面的需求。秦元明▲最高人民法院知识产权庭审判长秦元明对此次会议进行了总结，他首先对北京市高级人民法院知识产权庭和北京知识产权司法保护研究会对于数据产权司法保护课题研究工作的付出表示感谢，并对课题研究的方法及内容给予肯定。他指出，此前的调研活动通过企业实地调研，真正了解了企业对于数据产权的实际需求，调研报告初稿资料翔实，建议合理，逻辑清晰。最后，他提出，根据目前的理论和实践，此次数据产权调研应当立足于知识产权司法保护的视角，立足于解决司法实践中遇到的具体问题，提出切实可行的意见和建议。此次活动对于全面了解数据产权保护现状及问题，大数据企业对于数据产权保护的立法需求，丰富数据产权的司法理论方面有很大的研究借鉴意义。根据下一步企业调研情况，研究会将继续召开数据产权课题研讨会，以丰富该课题的调研数据内容。
发布时间：2020-11-02 14:56:06